Chương 3: AN TỒN MẠNG MÁY TÍNH Giáo viên: ThS Tạ Minh Thanh E-mail: taminhjp@gmail.com December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An An ninh truyền tin người-người -Kẻ trộm không hiểu nội dung -Thông điệp không bị sửa đổi -Gửi địa -… -Ăn trộm -Sửa đổi -Huỷ bỏ -… ?????? "Thần tốc, thần tốc Táo bạo, táo bạo Tranh thủ giờ, phút, xốc tới mặt trận, giải phóng miền Nam, chiến tồn thắng" December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An An tồn mạng máy tính 4.1 - An toàn mạng yêu cầu 4.2 - Mã hoá (cryptography) 4.3 - Chứng thực (authentication) 4.4 - Tính liêm nguyên vẹn (integrity) 4.5 - Key Distribution and Certification 4.6 - Kiểm soát truy cập (access control): firewalls 4.7 - Tấn công mạng (network attacks) 4.8 - An ninh tầng mạng December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An Truyền tin an tồn mạng máy tính • Alice, Bob, Trudy: máy tính cụ thể, dịch vụ cụ thể (web, mail, DNS, bank…) • Bob, Alice muốn “trị chuyện” bí mật; nạn nhân (victim) Trudy • Trudy (kẻ trộm) muốn nghe thấy, lưu lại, huỷ bỏ, sửa đổi thông điệp, gửi thông điệp giả mạo (Alice’s boyfriend) (Bob’s girlfriend) (Kẻ phá hoại) December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An Các yêu cầu an tồn truyền tin • Bí mật (confidentiality): msg truyền có sender (sndr) receiver (rcvr) hiểu – sndr mã hố msg – rcvr giải mã msg • Chứng thực (authentication): đảm bảo sndr rcvr trao đổi thông tin với đối tượng (không bị giả mạo) • Tính liêm ngun vẹn (integrity): msg nhận không bị sửa đổi bị sửa đổi phải phát được; msg phải đảm bảo đến từ sndr • Kiểm sốt truy cập (access control): – kiểm soát truy nhập dịch vụ (firewalls) – dịch vụ sẵn sàng với người dùng hợp lệ December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An Mã hố (cryptography) • Mã hố (encryption): chuyển msg thành dạng khác mà có sndr rcvr hiểu cách giải mã (decryption) • Khố (key): thơng tin sử dụng để mã hố hay giải mã – Khoá đối xứng (symmetric); khoá chia sẻ (shared): sndr rcvr biết – Khoá cơng khai (public): khố dùng để mã hố cơng khai December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An Mã hoá đối xứng (SKC - Symmetric Key Cryptography) • Mã Caesar: thay ký tự msg ký tự đứng sau k vị trí – Vd: k=1 ab, bc,…,za Dễ mã hố/giải mã • Phương pháp (substitution): Dễ phá mã??? – thay ký tự theo bảng thay thế.(brute-force attack + hiểu biết victim – mã Caecar trường hợp đặc biệt ngôn ngữ tự nhiên) • Ví dụ: Bảng Msg plaintext: bob i love you alice ciphertext: nkn s gktc wky mgsbc December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An SKC: DES • DES: Data Encryption Standard • Đưa NIST (National Institute of Standard and Technology, US) • Khố (key) số nhị phân 56-bit; liệu (data) số nhị phân 64-bit • Mức độ an toàn DES: – RSA Inc 1997, msg = “Strong cryptography makes the world a safer place” , khố 56-bit giải mã brute-force: tháng • Tăng độ an toàn DES: – cipher-block chaining: đầu 64-bit thứ j XOR với 64-bit vào – mã hoá nhiều lần liên tiếp (3 lần  triple-DES: 3DES) – Advanced Encryption Standard (AES): • NIST cải tiến DES, 2001; Khố: 128, 256, 512-bit; • brute-force: 149 nghìn tỷ (trillion) năm giây để giải mã DES 56-bit key December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An Basic DES operation December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An Public Key Cryptography (PKC) • Sử dụng khoá đối xứng (SKC): – khoá mã khố giải mã giống (khố bí mật) – sndr rcvr cần phải thoả thuận trước khố bí mật – khoá dùng chung gửi qua mạng có khả bị “ăn cắp” • Mã hố sử dụng khố cơng khai: – bên (sndr, rcvr) sử dụng cặp khoá (khoá mã khoá giải mã) – khố mã cơng khai (PK - public key) – khố giải mã bí mật (SK - secret key; sndr khơng cần biết khố rcvr) – sndr khơng cần biết khố bí mật rcvr December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An 10 RSA: Chọn khoá nào? • Chọn hai số nguyên tố lớn p, q (vd: 1024-bits); • Tính n = pq, z = (p-1)(q-1); • Chọn số e < n với e z hai số nguyên tố • Chọn số d cho (e.d - 1) chia hết cho z (e.d mod z =1) • Từ đó, có: – Khố cơng khai: (n,e) – Khố bí mật: (n,d) December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An 13 RSA: Encryption, decryption • Mã hố: – m dãy bit cần mã hoá – c = me mod n – c mã hố m • Giải mã: – rcvr nhận c – m = cd mod n December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An 14 RSA example Bob chooses p=5, q=7 Then n=35, z=24 e=5 (so e, z relatively prime) d=29 (so ed-1 exactly divisible by z) encrypt: decrypt: letter m me l 12 1524832 c 17 December 3, 2016 d c 481968572106750915091411825223071697 c = me mod n 17 m = cd mod n letter 12 l Học viện Kỹ thuật Quân Khoa CNTT - An 15 RSA: more - + B B K (K (m)) + = m = K (K (m)) B B sử dụng khoá cơng khai trước sử dụng khố bí mật trước Thứ tự sử dụng khố cơng khai bí mật khơng ảnh hưởng tới kết mã hoá/giải mã December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An 16 An tồn mạng máy tính 4.1 - An tồn mạng u cầu 4.2 - Mã hố (cryptography) 4.3 - Chứng thực (authentication) 4.4 - Tính liêm nguyên vẹn (integrity) 4.5 - Key Distribution and Certification 4.6 - Kiểm soát truy cập (access control): firewalls 4.7 - Tấn công mạng (network attacks) 4.8 - An ninh tầng mạng December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An 17 Chứng thực • Mục đích chứng thực đảm bảo chắn đối phương khơng bị giả mạo • Authentication Protocol – ap (textbook #1) • ap1.0: Alice say “I’m Alice” Failed Bob khơng “nhìn thấy” Alice mạng máy tính (# đời thực) December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An 18 Authentication: ap2.0 Failed • Alice says “I am Alice” gửi kèm địa để chứng minh: gói tin Alice có chứa IP Alice (src addr) • Trudy tạo gói tin giả mạo có chứa src addr IP Alice December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An 19 Authentication: ap3.0 Failed • Alice gửi kèm password để chứng minh • Trudy có khả “nghe” password Alice – Trudy ghi lại password dùng để gửi cho Bob bị hỏi password (record and playback) December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An 20 Authentication: ap3.1 • Alice gửi kèm password mã hoá (encrypted password) để chứng minh • Trudy có khả “nghe” password mã hố Alice, khơng biết password !!! • Tuy nhiên, Trudy chẳng cần biết password Alice làm gì, cần password mã hố đủ Alice’s encryppted “I’m Alice” IP addr password Alice’s IP addr OK Alice’s encrypted “I’m Alice” IP addr password December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An 21 Authentication: ap4.0 • Nonce: số ngẫu nhiên Bob sử dụng để “chứng thực” Alice • Mỗi lần cần chứng thực, Bob tạo nonce gửi cho Alice, yêu cầu Alice mã hoá (sử dụng khoá bí mật chung KAB) gửi lại • Bob kiểm tra xem Alice mã hố có khơng? để chứng thực • Trudy ghi lại khơng thể dùng lại nonce khác với lần chứng thực • Nhược điểm: khố bí mật; liệu sử dụng khố cơng khai??? December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An 22 Authentication: ap5.0 • Sử dụng nounce mã hố cơng khai December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An 23 ap5.0: lỗ hổng (security hole) • • Trudy giả mạo Alice Alice Bob phát việc giả mạo sau thời gian (lần “nói chuyện” sau, thực tế lần trước Alice bị giả mạo) December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An 24 Lỗ hổng ap5.0: man-in-the-middle attack • Trudy đứng giữa, giả mạo Bob với Alice giả mạo Alice với Bob • Rất khó phát Trudy ln nhận giả mạo thơng điệp • Giải pháp: Key Distribution Center December 3, 2016 Tải FULL (51 trang): https://bit.ly/3uk5Jn0 Dự phòng: fb.com/TaiHo123doc.net Học viện Kỹ thuật Quân Khoa CNTT - An 25 An tồn mạng máy tính 4.1 - An toàn mạng yêu cầu 4.2 - Mã hoá (cryptography) 4.3 - Chứng thực (authentication) 4.4 - Tính liêm nguyên vẹn (integrity) 4.5 - Key Distribution and Certification 4.6 - Kiểm soát truy cập (access control): firewalls 4.7 - Tấn công mạng (network attacks) 4.8 - An ninh tầng mạng Tải FULL (51 trang): https://bit.ly/3uk5Jn0 Dự phòng: fb.com/TaiHo123doc.net December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An 26 Integrity • Để đảm bảo liệu nguyên vẹn, sử dụng phương pháp kiểm sốt lỗi (checksum, CRC…) • Để kiểm tra liệu nhận đến từ sndr cụ thể đó, sử dụng chữ ký điện tử (chữ ký số - digital signature) • Chữ ký thơng thường: giống với msg • Chữ ký điện tử: phải khác với msg khác 4025285 December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An 27 ... chiến toàn thắng" December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An An toàn mạng máy tính 4.1 - An tồn mạng u cầu 4.2 - Mã hoá (cryptography) 4.3 - Chứng thực (authentication) 4.4 - Tính. .. CNTT - An 16 An tồn mạng máy tính 4.1 - An toàn mạng yêu cầu 4.2 - Mã hoá (cryptography) 4.3 - Chứng thực (authentication) 4.4 - Tính liêm nguyên vẹn (integrity) 4.5 - Key Distribution and Certification... December 3, 2016 Tải FULL (51 trang): https://bit.ly/3uk5Jn0 Dự phòng: fb.com/TaiHo123doc.net Học viện Kỹ thuật Quân Khoa CNTT - An 25 An toàn mạng máy tính 4.1 - An tồn mạng yêu cầu 4.2 - Mã hoá (cryptography)